计算机蠕虫病毒检测和防御技术探讨.docVIP

计算机蠕虫病毒检测和防御技术探讨 　　摘要:该文从蠕虫和病毒等相关概念出发分析了蠕虫病毒的行为特征和相关检测方法,并主要就netflow检测技术进行了详细的分析与探讨。 　　关键词:蠕虫病毒;检测;netflow 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)08-1848-03 　　Computer Worm Virus Detection and Prevention Techniques 　　PENG Zhi-chao 　　(Computer Department, Hunan University of Humanities, Science and Technology, Loudi 417000, China) 　　Abstract: In this paper analyses worm viruses behavior and associated detection methods baesed on worms and viruses concepts, stresses on netflow detection technology analysis and discussion. 　　Key words: worm virus; detect; netflow 　　随着互联网络的迅速发展,随之而来的网络安全事件也日益突出,特别是以计算机蠕虫病毒为代表的网络攻击已经成为我们最难对付的网络安全事件之一。国内著名计算机反病毒厂商江民科技发布了2009年上半年计算机病毒疫情特征报告显示,蠕虫病毒占12%仅次于木马病毒。由于计算机蠕虫病毒最快能够在几分钟内感染网络上绝大多数有漏洞的机器,占用网络带宽和耗尽网络设备的系统资源,导致正常的服务和应用无法进行。 　　1 蠕虫病毒介绍 　　计算机蠕虫是一种利用网络的通信功能将自身从一个节点发送到另一个节点并自动运行的程序。这种病毒虽然不会破坏你的计算机数据和硬件,但是它不断扩散,占用甚至耗尽网络带宽和网络设备的资源。蠕虫由两部分组成:一个主程序和一个引导程序。主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后,它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。与计算机病毒不同的是,计算机蠕虫不需要附在别的程序内,可能不用使用者介入操作也能自我复制或执行。 　　计算机蠕虫病毒是一种融合计算机蠕虫、计算机病毒和木马技术的新病毒,它无须计算机使用者干预即可运行,通过大规模的扫描获取网络中存在漏洞的计算机的控制权进行复制和传播,在已感染的计算机中设置后门或执行恶意代码破坏计算机系统或信息。目前危害比较大的计算机蠕虫病毒主要通过三种途径传播:系统漏洞、聊天软件和电子邮件。其中利用系统漏洞传播的病毒往往传播速度极快,防止计算机蠕虫病毒利用系统漏洞传播,最好的办法是打好相应的系统补丁;而通过电子邮件传播的病毒往往会出现大量的变种,用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。防范邮件蠕虫的最好办法就是提高自己的安全意识,不要轻易打开带有附件的电子邮件。另外,启用杀毒软件的“邮件监控”功能,也可以提高自己对病毒邮件的防护能力;MSN,QQ等聊天软件也成为计算机蠕虫病毒传播的途径之一,主要防范措施是提高安全防范意识,对于通过聊天软件发送的任何文件,不要随意点击聊天软件发送的网络链接。 　　网络蠕虫病毒最大的特点蔓延速度快,感染范围和所阻塞的网络不可控,计算机蠕虫病毒的危害是巨大的,主要体现在以下五个方面:1) 消耗被感染主机的系统资源以及破坏系统文件和信息资源;2)消耗网络资源导致网络拥塞甚至瘫痪;3) 消耗网络设备系统资源,如路由器和交换机;4) 降低被感染主机和网络设备的系统性能;5) 与黑客技术融合,造成更大的安全隐患。 　　2 蠕虫检测与防御技术 　　计算机蠕虫病毒已经成为网络上极大的安全隐患,由于计算机蠕虫病毒具有相当的复杂性和破坏性,因此,对计算机蠕虫病毒的早期检测和防御就显得格外重要。检测主要是发现、分析网络异常行为特征,而防御是在检测到蠕虫病毒后进行危机控制和快速响应。但目前还没有哪种措施能有效的检测和防御所有的计算机蠕虫病毒,特别是新型的未知的计算机蠕虫病毒。在网络中应用最广泛的计算机蠕虫病毒的检测和防御技术是防火墙技术,入侵检测系统(Intrusion Detection Systems, IDS)技术,简单网络管理协议(Simple Network Management Protocol, SNMP)技术和NetFlow技术等。 　　2.1 防火墙技术 　　通过配置防火墙软件